1,336 个 Hacker News 点赞。718 条评论。有报告称 Claude Code 会扫描仓库中的 HERMES.md——OpenClaw 代理配置文件——并要么拒绝请求,要么将其路由到更高成本的计费层级,用户报告成本上涨高达 50 倍。这就是 4 月 30 日的头条社区故事,而它发生在 NVIDIA 发布 NemoClaw alpha、Tencent 投入全职维护者、openclaw/openclaw 仓库突破 368,000 个 GitHub Star 和 1200 万次下载的同一个月。v2026.5.4-beta.1 不仅仅是又一次发布。它是 OpenClaw 从一个拼劲十足的开源项目开始成为一个靶子的时刻。

对于评估自托管 AI 代理平台的企业 IT 团队而言,本周的问题不再是"OpenClaw 真实存在吗?",而变成了"如果我们没有部署计划,我们的风险敞口有多大?“这篇文章把发布新闻、平台政治、企业背书以及仍未关闭的安全问题整合到一幅画面中,并为希望以 OpenClaw 为标准、同时不继承上游毛糙之处的组织给出了一份 90 天部署路线图。

为什么企业 IT 在 2026 年 5 月重新评估自托管 AI 代理平台

三股趋势在 4 月交汇:

  • 托管 AI 供应商开始强制执行订阅边界。 在 2024 和 2025 年悄悄吸收第三方代理 harness 流量的 flat-rate 套餐正被重新分类、加价附加费或拒之门外。容量是有限的,供应商的单位经济承受着压力。
  • 主权和采购审查收紧。 2026 年多个司法管辖区发布了关于自主 AI 代理的政府警告,包括比利时、中国和韩国等地正式的限制和公告。采购团队正在追问提示词、工具调用和中间工件的物理存放位置。
  • 开放代理的企业级加固终于出现。 NemoClaw 是一个加固的 OpenClaw 分支,集成了 NVIDIA NeMo 护栏和 OpenShell 沙箱,为风险厌恶型买家提供了可以在架构评审中为之辩护的方案。

这三者叠加将对话从"我们试点一个托管代理吧"转向"我们的代理控制平面是什么?“这正是自托管 AI 代理平台所回答的问题,也是为什么面向企业实践者的受众现在需要对 OpenClaw 有个立场——不是明年,是本季度。

Anthropic 对峙:OpenClaw 订阅封锁对你的技术栈意味着什么

本周最大的社区故事是 Anthropic 与 OpenClaw 用户之间的摩擦。根据在 Hacker News 上收集的社区报告以及针对 claude-code 的相关 GitHub issue,有人观察到 Claude Code 会检测 HERMES.md 文件(OpenClaw 代理配置清单)和与 OpenClaw 相关的提交消息,然后要么拒绝处理请求,要么将其路由到更昂贵的"额外使用"计费层级。那篇 Hacker News 帖子《Claude Code 在你的提交提到 ‘OpenClaw’ 时拒绝请求或额外收费》在数小时内累积了 1,336 点赞和 718 条评论。

更早的 4 月,TNW 报道 Anthropic 在 Claude Pro 和 Max flat-rate 订阅中封禁了 OpenClaw 使用,该媒体将其框定为成本 crackdown。Anthropic Claude Code 负责人 Boris Cherny 被引述称"Anthropic 的订阅并不是为这些第三方工具的使用模式而构建的。“受影响用户报告其每月支出上涨高达 50 倍。据估计,当时有超过 135,000 个 OpenClaw 实例在运行。

企业有两种解读方式:

  1. 乐观: Anthropic 是对的。订阅从未为自主代理的流量模式而构建,单位经济正迫使每家托管 AI 供应商引入分层。预计未来两个季度竞争对手也会跟进。
  2. 防御: 一个扫描你仓库内容以识别并对竞争工具用户加价的平台,越过了采购和法务最终会标记的红线。模型层的单一供应商敞口现在已是董事会级议题。

两种解读都指向同一个运营答案:将代理界面与模型计费路径解耦。 OpenClaw 在设计上正是如此。它是最直接的着陆区,适用于那些基于 Claude Code 订阅 Credit 构建工作流、现在需要控制自己计费路径的团队——即使他们继续使用 Claude API key。

如果你的 CFO 还没问过你的 AI 工具是否存在 50 倍成本冲击场景,他们迟早会问。获取一个不依赖任何单一供应商善意的加固 OpenClaw 部署——与模型提供方无关、以 Entra ID 为锚,并根据你现有的 Intune 合规基线塑形。

深入 v2026.5.4-beta.1:性能、文件传输和 Gateway 配置破坏性变更

本周的头条发布是 v2026.5.4-beta.1,一个于 5 月 4 日切出的 98 个 commit 的 beta。三项变更对企业运营者最为重要。(完整发布解读请参见本周的 OpenClaw 发布说明。)

捆绑的 File Transfer Plugin#74742)提供了四个代理工具——file_fetchdir_listdir_fetchfile_write——用于在配对节点上进行二进制文件操作。架构才是看点:默认拒绝的每节点路径策略、除非 followSymlinks 显式开启否则拒绝符号链接遍历、每次往返 16 MB 上限,并且每次路径访问都需要操作者批准。这是第一个以显式配置和有界资源上限(而非隐式、文档驱动的权限)发布的捆绑插件。预计未来的捆绑插件将沿用同一模式。

Gateway 配置验证现在采用失败即停止策略。 此前,Gateway 在遇到无效配置时会尝试自动恢复到最近已知良好的状态。这张安全网已经没了。无效配置现在会使 Gateway 完全停止。修复路径是 openclaw doctor --fix,这是指定的修复工具。这是一种站得住脚的加固——静默自动恢复掩盖了配置漂移并使排错更困难——但对于任何有非平凡插件配置的人来说,这都是一次真实的迁移事件。部署配置变更的 CI/CD 流水线需要在触达生产之前加入 doctor 验证步骤。

启动性能得到系统性重构,通过系统性懒加载:模型目录测试助手、QR 配对助手、TypeBox 内存工具 schema 构建以及 run-session 查找都移出了热启动路径。Sidecar 延迟将非就绪 sidecar 推迟到就绪信号之后。原生可加载的插件路径除非需要回退否则跳过 jiti 导入。其效果是插件密集型部署中 Gateway 启动显著加快,这转化为守护进程化服务更少的重启停机时间。

另有两项变更值得一提:/steer <message>#76934)让你可以在不开始新一轮的情况下介入正在进行的会话运行——对多步操作提供与队列无关的引导。而流式进度在 Discord、Telegram、Matrix、Slack 和 Microsoft Teams 之间实现了统一,通过 streaming.mode: "progress",Slack 还获得了由结构化进度数据支撑的 streaming.progress.render: "rich" Block Kit 选项。

NVIDIA NemoClaw 与 Tencent 维护者:OpenClaw 的供应商背书故事

买家最关心的故事是谁愿意为 OpenClaw 押上自己的声誉。截至 5 月 4 日,答案是一份短短的名单,上面的名字在十二个月前都还不存在。

  • NVIDIA NemoClaw 是一个开源的企业级加固 OpenClaw 发行版,运行在 NVIDIA OpenShell 容器内。它集成了 Nemotron 开源模型、NeMo 护栏、沙箱生命周期管理、网络策略批准/拒绝、OpenTelemetry 监控,以及位于 docs.nvidia.com/nemoclaw 的完整开发者指南。Justin Boitano 在 4 月 30 日的 Nemotron Labs 文章《OpenClaw 代理对每个组织意味着什么》是一个方向性信号,表明 NVIDIA 将 OpenClaw 视为企业平台。产品本身仍处于 alpha——NVIDIA 明确警告"勿用于生产”——但 alpha 本身就是信息。
  • Tencent 已投入全职维护者负责 OpenClaw 的安全、稳定性和 ClawHub 运营,并与内部安全团队建立了直接的漏洞同步专线。大多数平台供应商零星地贡献代码。专职人手是非同寻常的。
  • Microsoft 和 GitHub 是 OpenClaw GitHub Secure Open Source Fund 项目的参与者,Atlassian 在部署、可审计性、身份边界和密钥处理方面有所推动。Convex 在安全态势重构期间维护了 ClawHub。
  • OpenAI 提供推理支持,已将其 Codex Security 研究预览接入平台以进行主动漏洞检测,并容纳了 Peter Steinberger 的 Claw Labs 团队——Steinberger 是 OpenClaw 的原创建者,于 2 月加入 OpenAI。

位于 openclaw.org 的 OpenClaw Foundation 正在定位为独立治理机构。4 月 30 日的安全博客文章明确将基金会命名为确保 OpenClaw"独立、社区驱动、永远开放"的实体。这一承诺能否在 2027 年后依然成立仍是开放问题,但基金会基础设施已就位。

2026 年的 OpenClaw 企业安全:开放问题、加固模式与信任边界

OpenClaw 的安全态势在快速改善——并且开箱即用仍达不到企业级。两者同时成立。诚实的实践者是在了解开放问题的情况下部署它。

本周落地的加固:

  • Windows ComSpec 劫持修复#77472)。Windows 进程包装器此前从 ComSpec 选择其命令解释器,而这是一个工作区可控的环境变量,可能被重定向到不受信任的解释器。修复通过共享的 getWindowsInstallRoots() 解析器路由 cmd.exe 解析,并拒绝 UNC 路径、分号分隔的路径列表以及缺少盘符的根。来自注册表的根优先于环境变量取值。这是一类在被利用前修复的高严重性 Windows 命令注入。
  • 插件诊断信任#77516)。一个信任位现在贯穿插件加载器、注册表和服务注册。只有捆绑插件或由安装记录支撑的 @openclaw/diagnostics-* npm 包才获得 internalDiagnostics 能力。此前,不受信任的外部插件包也可以注册为诊断导出器。
  • 沙箱容器/浏览器注册表#74831)改为按运行时分片文件,减少了会话锁争用。
  • Tree-sitter shell 命令解释器#75004)被加入——尚未接入任何批准界面,但它是合规环境将要求的可解释命令批准的基础。

仍未关闭、应当塑造你今日加固策略的问题:

  • Control UI 中的凭据暴露#72283)——敏感凭据以明文形式在 Control UI 的工具调用显示中渲染。严重级别,4 月 26 日开放,本周期无专门补丁。
  • 代理隐私隔离绕过#70573)——工作区边界可通过读取指定范围之外的文件被绕过。高严重性,多租户部署需要予以缓解。
  • v2026.5.3-1 中的性能 DoS#77519)——workspaceDir 不匹配导致插件元数据快照重用路径永远无法命中,触发每次 RPC 分发都进行完整的逐插件清单重建和 stat 扫描。sessions.list 从 99–155 ms 退化到 156 秒——1500 倍回归。**运营者必须完全避免 v2026.5.3-1。**前滚到 v2026.5.4-beta.1 或回滚到 v2026.4.27。
  • macOS LaunchAgent 明文密钥#72996)——macOS 升级路径会重写 ~/Library/LaunchAgents/ai.openclaw.gateway.plist 并可能携带明文密钥,同时从不运行 launchctl bootstrap 并让 LaunchAgent 从 GUI 域中悄无声息地消失。该 issue 已关闭,意味着不对称恢复与 bootstrap 差距已得到处理;在滚动升级前请验证你的 macOS 升级路径。

这些不是不部署 OpenClaw 的理由。它们是带分层控制部署 OpenClaw 的理由——Control UI 仅绑定到 localhost、Tailscale ACL、反向代理认证、Intune 管理的端点姿态、网络分段,以及签名插件——直到上游补丁发布。这就是企业部署合作伙伴所做的工作。我们不修补上游代码;我们用控制措施予以缓解,直到上游补丁到位。

在 Windows 365 和 Intune 管理的端点上部署 OpenClaw

对于以微软为中心的组织,OpenClaw 最干净的部署形态是在 Windows 365 云电脑上配以 Intune 合规强制。三个原因:

  • 端点姿态已受管。 云电脑由 IT 预先配置,通过 Intune 合规策略加固,并受 Conditional Access 保护。在受控端点上添加自主代理比在 BYOD 开发者笔记本上添加要容易审计得多。
  • 身份已以 Entra 为锚。 OpenClaw 的插件认证(Google Workspace、Microsoft 365、GitHub)干净地映射到带 Conditional Access 的 Entra 应用注册。你获得的是一个身份审计面,而非三个。
  • 密钥落在 Azure Key Vault 中。 提供方 API key、ClawHub 令牌和插件凭据存放在 Key Vault 中并由托管标识引用,而非存储在磁盘上的 HERMES.md 文件中。

Big Hat Group 将此作为面向 Windows 365 云电脑的加固 OpenClaw 架构交付——Entra ID 身份、签名技能、Intune 合规和网络分段。如需更深入的架构参考,请参阅我们在 Azure 上的安全 OpenClaw 参考架构

OpenClaw vs Claude Code vs Microsoft Copilot:企业 IT 的决策框架

这个类别里的大多数比较要么派系化要么含糊。一个有用的采购框架聚焦于五个轴:

决策轴OpenClawClaude CodeGitHub Copilot
托管模型自托管供应商托管供应商托管
模型灵活性任何 LLM(OpenAI、Anthropic、DeepSeek、本地)仅 ClaudeGPT-4o、Claude 模型
自主性完全自主(文件系统、浏览器、shell、API)半自主,聚焦终端聊天加内联补全
渠道面20+(Discord、Slack、Teams、WhatsApp、Meet、Telegram、Matrix 等)终端IDE、GitHub Web
许可证MIT专有专有
计费模型自带 API key订阅,由平台侧强制执行订阅

当你需要提供方灵活性、渠道广度、超出单一 IDE 的自主性,或自托管主权时,OpenClaw 胜出。托管方案在你想要零运营开销并信任供应商路线图和计费姿态时胜出。对于大多数受监管企业,现实的答案是"三者并用”——Claude Code 或 Copilot 用于 IDE 内编码,OpenClaw 作为多渠道自主代理承担其他一切。如需更深入的功能逐项对比,请参阅我们关于 OpenClaw 与 GitHub Copilot 企业对比以及微软受 OpenClaw 影响的 Copilot 代理倡议的分析。

逆向观点

大多数每周 OpenClaw 文章都选边站:要么"Anthropic 反竞争”,要么"OpenClaw 不计后果"。两种框法都没用。

有用的框法是**Anthropic 担心是对的,而 OpenClaw 开箱即用尚未达到企业级,两者同时成立。**平台在采纳上取胜——368,000 个 Star、1200 万次下载、52,700 个 ClawHub 工具、NVIDIA 和 Tencent 投入真实工程——同时截至本文撰写时仍带着 #72283(Control UI 中凭据暴露)和 #70573(隐私隔离绕过)针对 Control UI 未关闭。诚实的答案不是"原样使用",也不是"不要使用"。而是"由读过 issue 追踪的人加固部署"。这才是真正的工作。

你的下一个 90 天:OpenClaw 企业部署路线图

对于将 OpenClaw 作为平台决策进行评估的组织,一份站得住脚的 90 天计划如下:

  • 第 1–30 天——架构与策略。 确定渠道(Slack、Teams、Meet)和用例(事件分诊、会议代理、IT 运营)。选择一个不单一来源某家供应商的模型提供方策略。搭建一个 Intune 合规强制、Entra Conditional Access 就位、Azure Key Vault 存放提供方密钥的云电脑试点环境。决定 Foundation 治理姿态:固定到稳定版还是跟随 beta。
  • 第 31–60 天——加固试点。 在试点云电脑上部署 v2026.5.4 稳定版(当其退出 beta 后)。将 Control UI 绑定到 localhost 或置于反向代理认证之后。把 openclaw doctor --fix 加入 CI/CD。验证 macOS LaunchAgent 路径、Windows ComSpec 加固(#77472),并确保你不在 v2026.5.3-1 上。启用仅签名技能的插件策略。运行两周真实工作流。
  • 第 61–90 天——规模化与治理。 在清晰的支持与合规模型下将试点推广到更广的用户群。将 OpenTelemetry 接入你现有的 Azure Monitor 或 Prometheus 栈。定义带配置验证关卡的升级节奏。培训运营者——你的 IT 团队应知道 /steer 的作用、如何阅读审计抑制开关,以及仍未关闭的 issue 是什么。

如果你的团队能从外部加速中受益,预约 30 分钟的 OpenClaw 生产就绪评审。这不是咨询通话——而是一次工作会话,我们将针对 v2026.5.3-1 性能陷阱、#72283 凭据暴露和 #70573 隔离绕过审计你的草案架构,并带出一份待办清单。搭配面向 IT 团队的 Windows 365 和 Intune 培训,让部署落在受控的端点面上。

OpenClaw 已不再是问题。问题在于你的企业是刻意部署它,还是被动应对。2026 年 5 月是做出选择的时刻。

本文基于 OpenClaw v2026.5.4-beta.1 发布说明、openclaw/openclaw GitHub issue 追踪器、NVIDIA NemoClaw 文档,以及截至 2026 年 5 月 4 日收集的社区信号。归因于 Anthropic 的具体产品行为系根据 Hacker News 上的社区帖子及针对 claude-code 的相关 GitHub issue 报告。